2023年第46周安全周报 | 本周安全要闻速
● 《会计师事务所数据安全管理暂行办法》公开征求意见
为贯彻落实《国务院办公厅关于进一步规范财务审计秩序 促进注册会计师行业健康发展的意见》(国办发〔2021〕30号)的要求,加强会计师事务所数据安全管理,规范会计师事务所数据处理活动,财政部会同国家网信办研究起草了《会计师事务所数据安全管理暂行办法》(征求意见稿)》。《办法》共5章36条,定位为会计师事务所数据安全管理顶层设计,一是全面对接数据安全法要求。在注册会计师行业对国家数据安全管理制度进行细化,明确落实数据分级分类管理制度、各类数据处理要求、数据安全保护义务等法律规定,为行业数据安全监管提供制度保障。二是构建注册会计师行业数据安全监管体系。明确财政部、国家网信办、地方财政部门、地方网信部门和注册会计师协会等各方面的职责范围,建立权责一致的工作机制。三是明确数据管理要求。根据注册会计师行业的实际情况,明确了会计师事务所数据管理的主要内容、责任人员、管理要求、网络防护等要求,指导行业健全数据安全管理和技术保护措施,履行保护义务。
来源: 财政部办公厅
● 《数据清洗、去标识化、匿名化业务规程 (试行)》发布
为规范数据处理行为,激活数据要素市场,北京市经济和信息化局指导中国信息通信研究院产业与规划研究所、北京国际大数据交易所联合编制、发布国内首个数据清洗、去标识化、匿名化处理相关流程方法的业务规程——《数据清洗、去标识化、匿名化业务规程(试行)》,旨在指导行业主体组织开展数据清洗、去标识化、匿名化处理等及相应的技术测试评估,支撑数据共享、交易、开放等流通活动合规、有序进行。规范数据清洗、去标识化、匿名化处理等业务活动,有助于提升数据的可用、可信、可流通、可追溯水平,推动数据要素强化优质供给,是促进数据要素化和要素市场化的必经步骤。
来源: 北京经信局
● 欧洲议会通过《数据法案》
近期,欧洲议会以481票赞成、31票反对、71票弃权通过《数据法案》(Data Act)。该法案旨在明确数据访问、共享和使用的规则,规定获取数据的主体和条件,使更多私营和公共实体将能够共享数据。该法案需要欧洲理事会正式批准才能成为法律。《数据法案》制定了关于共享通过使用联网产品或相关服务(如物联网、工业机械)产生的数据的规则,并允许用户访问他们生成的数据。这将有助于新服务的发展,尤其是在人工智能领域,因为算法训练需要大量数据。《数据法案》还旨在降低联网设备的售后服务和维修成本。该法案规定,在特殊情况或紧急情况下(如洪水和野火),公共部门机构将有权访问和使用私营部门持有的数据。
来源:人工智能法
● 网络攻击迫使澳大利亚港务巨头运营停摆
由于发生网络安全事件,澳大利亚第二大港口运营商“澳大利亚环球港务集团”运营已经停摆。从10日开始,集团在墨尔本、悉尼、布里斯班等主要城市的港口货物运输受到严重影响。12日,集团表示,正在测试货运系统运行,港口何时恢复正常作业还不清楚。据法新社报道,澳大利亚环球港务集团高管12日在一份声明中表示,公司与网络安全专家的合作已取得“重大进展”,并在测试恢复货运的主要系统,同时评估是否有个人信息受到影响。据悉,目前货船仍可以卸货,但运输集装箱的卡车无法正常进出港。12日,澳大利亚多个政府部门和机构举行会谈,继续商讨应对措施。澳大利亚警方正对这起网络安全事件展开调查,在调查期间各主要港口的业务受到限制。
来源:央视财经
● 美国防部发布生成式人工智能临时指南
近日,美国防部“利马”工作组发布生成式人工智能临时指南,为美国防部及各军事部门正在进行和即将采用的新兴和颠覆性生成式人工智能技术提供建议。该指南供国防部内部使用,不会公开传播,但首席数字与人工智能办公室简要介绍了该指南的部分关键内容。①风险评估与缓解。国防部敦促各部门采用稳健的治理流程,而不是完全禁止通用人工智能工具。这包括记录与特定的生成式用例相关的风险,确定和证明可接受的风险,以及降低不可接受的风险。②输入限制。应谨慎使用公开可用的生成式人工智能工具。禁止输入国家安全机密信息或受控制的非机密信息。所有数据、代码、文本或媒体在输入之前必须获得公开发布批准。③问责制。所有国防部人员均应对在生成式人工智能协助下得出的结果和决策负责。建议用户验证和交叉检查此类工具的所有输出。④引用。为增强透明度,鼓励对使用生成式人工智能工具创建的文档进行适当标记。
来源:国防科技要闻
● 英国NCSC表示关键基础设施的网络准备情况未达标
英国国家网络安全中心(NCSC)再次对英国关键国家基础设施(CNI)面临的威胁级别不断上升表示担忧。在11月13日午夜发布的年度审查中,它承认英国最关键领域的网络安全弹性水平尚未达到需要的水平,但尽管问题日益增多,但仍试图“跟上步伐”并继续努力提高安全性隐现于地平线上。报告指出:“威胁正在不断演变。虽然我们在最关键部门的抵御能力建设方面取得了进展,但我们还没有达到我们需要达到的目标。” “我们将继续与政府、行业和监管机构的合作伙伴合作,加快这项工作并跟上不断变化的威胁,包括根据设定的目标跟踪他们的恢复能力。”
来源:theregister
● 中美就军事人工智能的历史性禁令达成一致
在即将举行的双边会议上,中美计划宣布一项协议,禁止在包括无人机在内的自主武器以及核弹头控制和部署系统中使用人工智能。这次会议将在旧金山亚太经合组织峰会期间举行,讨论的主要问题将是人工智能的潜在危险。华盛顿和北京已经对这项技术的不受控制的使用表示担忧,这可能会引发冲突。今年二月,美国推出了《关于负责任地军事使用人工智能的政策声明》,这是一个新的法律和外交框架,旨在就军事人工智能的开发和使用建立全球共识。该倡议已得到36个国家的支持。拜登政府还宣布了先进人工智能产品审批的新规则,要求此类项目得到美国联邦政府的认证,禁止将其用于制造生物或核武器。中国在这一领域也取得了重大进展,特别是在利用先进人工智能技术开发自主军事系统方面。
来源:The Record
● 欧盟理事会批准欧盟太空安全与防御战略
欧洲理事会批准了关于初步欧盟太空安全与防御战略的结论。理事会强调欧盟对国际法以及联合国框架内确立的价值观和指导原则的持久奉献。此外,欧盟成员国重申愿意继续努力建立各种太空活动中负责任行为的规范、规则和原则。11月14日发布的声明称,对新战略表示欢迎,支持其主要途径,并提议增加欧盟对太空威胁的了解。该机构将进行年度机密分析,并加强有关太空安全的军事和民用情报服务;加强空间系统和服务的弹性和保护,承认委员会提出欧盟空间法的意图;通过太空领域意识信息、欧盟联合应对专用工具箱以及进一步开展演习,更好地应对太空威胁。此外,该战略致力于通过更好地将太空维度纳入共同安全和防御政策(CSDP)任务和行动的规划和实施,加强太空对安全和防御目的的利用;加强欧盟卫星中心(EU SatCen);开发供欧盟一级政府使用的空间服务,包括以委员会提出的关于新的欧盟地球观测政府服务的试点项目为基础。
来源:industrialcyber
● 卡塔尔和卢旺达合作加强非洲网络安全
中东和非洲地区国际网络安全合作正在兴起的另一个迹象是,卢旺达和卡塔尔两国在多项网络安全战略上开展合作,包括改善公钥基础设施和支持人工智能研发。据当地媒体报道,该交易是卡塔尔努力加强信息和通信技术领域特别是非洲合作的一部分。卡塔尔通信和信息技术部长Mohammed bin Ali bin Mohammed Al Mannai在宣布该交易时表示:“此次合作证明了我们致力于在本地和国际层面促进创新和技术进步。” “这种伙伴关系旨在加强协同作用,促进共同增长和发展,促进信息和通信技术(ICT)领域各个关键领域的知识和资源交流。”协议还计划制定信息通信技术政策和战略交流、数字化转型和电子商务经验交流、智慧城市合作以及建立跨境数据流动。此前,阿塞拜疆和阿拉伯联合酋长国签署了类似的国际谅解备忘录,以改善其网络安全状况。
来源:网空闲话plus
● 瑞士政府秘密数据因巴塞尔公司网络攻击而受损
Concevis是一家为瑞士政府、金融部门以及工业和物流领域的公司提供软件解决方案的瑞士主要供应商,最近面临勒索软件攻击。攻击者窃取了公司机密信息,其中可能包括瑞士联邦办公室的旧运营数据。黑客还对所有Concevis服务器进行了加密。瑞士联邦委员会迅速对事件作出回应,并在其官方网站发布了相应的新闻稿。Concevis拒绝支付黑客要求的赎金,勒索者威胁要在暗网上发布被盗数据。该公司向客户通报了这一网络事件。此外,Concevis向巴塞尔(瑞士城市)检察官办公室提起刑事诉讼,并聘请外部安全提供商来解决该事件。Concevis的客户包括瑞士联邦管理局的各个行政单位。目前正在执行程序来识别可能落入攻击者手中的特定单元和数据。
来源:securitylab
